Cyberattaque avec rançongiciel ? C’est avant que ça se passe
L’impact des cyberattaques avec ransomware, qu’il soit pratique, émotionnel ou organisationnel, tend à occulter ce qui se passe avant le déclenchement du chiffrement. De quoi se priver de capacités de prévention essentielles.
Les rançongiciels attirent, sinon monopolisent l’attention. Et c’est parfaitement compréhensible : les cyberattaques qui les impliquent ont des effets bien perceptibles, très rapidement, au point qu’il est difficile, au moins pour la victime, de passer à côté. Mais il y a là un biais sinon dévastateur, au moins fortement préjudiciable.
Parce que le déclenchement du ransomware, du chiffrement des données, n’est que la phase finale d’une cyberattaque dont l’étape initiale est bien antérieure, parfois de plusieurs mois.
Certains penseront là aux accès initiaux : ces portes d’entrée dans le système d’information, laissées entrebâillées bien involontairement par les entreprises, et totalement à l’insu de leur plein gré, dans lesquelles un cyberdélinquant aura opportunément glissé un pied.
Cet accès initial sera ensuite exploité directement par un groupe auquel appartient le cyberdélinquant, ou revenu à des tiers – tout aussi malveillants –, faisant au passage de l’intéressé un courtier en accès initiaux.
Certains spécialistes du renseignement sur les menaces suivent les ventes d’accès initiaux publiques, comme privées, afin d’essayer d’identifier et d’avertir des victimes en devenir. Parfois gracieusement, souvent dans le cadre de contrats de service dédiés. Mais il y a encore un avant additionnel à cette étape : l’établissement de l’accès initial.
Il est aisé et courant de penser à l’inadvertance d’un collègue ayant simplement procédé à un clic malheureux sur une pièce jointe dans un e-mail. Ce n’est pas une vue de l’esprit. Mais c’est réducteur. Il existe toute une économie du vol de données – notamment d’authentification – sur les postes de travail, dans leurs navigateurs web. Et elle est basée sur des logiciels spécialisés, des infostealers.
Ces logiciels malveillants semblent jouer un rôle tellement important dans l’industrie de la cyberdélinquance, et dans l’économie des accès initiaux, qu’il nous a semblé essentiel d’y consacrer ce numéro 24 de notre eZine Information Sécurité. Et c’est à cause d’eux que les équipes informatiques de l’enseignement supérieur, en France, ont passé les fêtes de fin d’année en état d’alerte.